[PHP-users 19115]Re: register_globals = Onはどの程度危険なのでしょう？

[Mori Reo]

森と申します。

register_globals = on にすることによって
POSTやGETで渡される値がPHPスクリプト中の
変数に直接代入されてしまいます。
これは作成者が予期せぬ値を代入することが可能ということです。

http://example.com/foo.php?var=0
として、このvarの値をregister_globals = onの時に
参照するには$varとして扱いますが、ユーザがこのURLに
?var=0&constant=foo という値を追加したとします。
するとPHPスクリプトの中で、外部からの値の代入は
予期していない変数（この場合は$constant)に勝手に
値が代入されてしまいます。

例えばですが、下記のようなスクリプトがあったとします。

$valid = 0;
if($validPassword === "drowssaP")
    $valid = 1;

if ($valid === 1)
    print "認証が成功した場合に表示する";

この例ではパスワードが正しい場合には$validに1
が代入され、その後のチェックで$validが1の時にだけ表示
するというスクリプトです。しかしregister_globals = onが
設定されていると http://example.com/foo.php?valid=1
とすることによって、認証のロジックを無視し、値を代入
出来るといったことになります。このような動作が極めて
危険ということです。つまり、定義されている変数が予期せぬ
値に勝手に置き換えられている可能性があるということです。

register_globals = off にしたときには$_REQUESTや$_GETおよび
$_POSTといった変数を用いることによって外部からの変数を
扱うことができます。

詳しくはマニュアルの「変数 PHPの外部から来る変数」などをご覧下さい。
http://www.php.net/manual/ja/language.variables.external.php

David A. Wheeler氏の
Secure Programming for Linux and Unix HOWTO 
9.言語固有の問題 9.8.PHP でもこの問題が取り上げられています。
http://www.linux.or.jp/JF/JFdocs/Secure-Programs-HOWTO/php.html

------------
森 怜峰 <reo ＠ rucifer.ddo.jp>